朱媛+孙家乐

摘要：随着中国经济的快速发展和国际互联网技术的不断进步，信息时代正在不断改变着人们的生活，信息交流和传递也变得方便和快捷。人们在享受商品和服务时，需要向商品或服务提供者提供个人的姓名、住址、联系方式等基本信息。与此同时，一些推销和诈骗电话对自己的信息了如指掌，甚至社会上出现因个人信息泄露导致的信用卡盗用，非法获取和出卖个人信息的犯罪行为。当前，保护公民个人信息日益受到关注，国家从立法和监督管理的力度也在逐步加强。

关键词：个人信息；泄露；立法保护；风险

2014年3月，据新闻报道，国内知名漏洞报告平台乌云公布了携程支付系统漏洞，即携程安全支付日志可下载，导致大量用户银行卡信息泄露，包含持卡人姓名、身份证、所持银行卡类别、银行卡号、卡CVV码、6位卡Bin（用于支付的6位数字）。①近日，又有一款名为“性感杀手”的新型Android系统病毒将自身伪装成色情视频APP引诱网民下载，一旦手机中毒，用户会自动安装黑客指定的恶意程序，导致用户面临个人信息泄露、银行账户被盗等风险。相类似的报道不绝于耳，人们开始担忧自身个人信息的丢失和泄露，与此同时，社会对个人信息保护的关注进入到一个新的高度。

一、个人信息的定义

个人信息是指“个人的姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其它信息比照可以识别特定的个人信息”。②个人信息不同于个人隐私，在我国个人信息往往被视为隐私的一个组成部分，只有具有私密性的个人信息才与个人隐私重合，另外，个人信息还包含有愿意公诸于众的部分。

2012年11月5日，国家标准化管理委员会发布了推荐性标准《信息安全技术公共及商用服务信息系统个人信息保护指南》（以下简称“指南”，2013年2月1日实施）。《指南》尽管并非法律规定，但是我国未来立法的趋势。根据《指南》，“个人信息是指可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息。” “各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。”“个人一般信息则是个人敏感信息之外的个人信息。”

二、有关个人信息的法律规定及不利后果

《刑法修正案（七）》首次将侵犯公民个人信息行为入罪，随后，《最高人民法院、最高人民检察院关于执行<中华人民共和国刑法>确定罪名的补充规定（四）》发布，确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”。这两个新罪是刑法首次直接针对公民个人信息进行全方位保护的规定。这里，“出售、非法提供公民个人信息罪”的犯罪主体是特殊主体，比如金融、电信等单位本身以及单位的工作人员（自然人）；而“非法获取公民个人信息罪”的犯罪主体为一般主体，即任何自然人和单位均可以构成本罪。

《全国人民代表大会常务委员会关于加强网络信息保护的决定》指出，国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息，这为加强保护公民个人信息，维护网络安全提供了有利的法律依据。

去年修订的《中华人民共和国消费者权益保护法》也在相关条款中对个人信息保护做出详细的规定。例如，其第十四条规定：“消费者在购买、使用商品和接受服务时，享有人格尊严、民族风俗习惯得到尊重的权利，享有个人信息依法得到保护的权利。”

对于不履行法律相关要求，可能有以下不利后果：（一）若以书面、口头等形式宣扬他人的隐私，造成一定影响的，根据《最高人民法院关于贯彻执行<中华人民共和国民法通则>若干问题的意见》第140条的规定，可认定为侵害公民名誉权的行为，受害人可以追究民事责任，即请求停止侵害、损害赔偿等。（二）若违反社会公共利益、社会公德侵害他人隐私或者其他人格利益，依据《最高人民法院关于确定民事侵权精神损害赔偿若干问题的解释》第一条第二款，受害人可以侵权为由向人民法院起诉请求赔偿精神损害。（三）如果经营者未尽到保密义务致使消费者个人信息遭到泄漏，权利受到损害的，受害人可以依据《消费者权益保护法》追究经营者的民事责任，包括请求停止侵害、损害赔偿等。

此外，各部委也在积极制定更加具体的个人信息保护规定。比如信息化部和工信部联合起草了《电信和互联网用户个人信息保护规定（征求意见稿）》、《电话用户真实身份信息登记规定（征求意见稿）》（以下简称《规定》），且向社会广泛公开征求意见。根据《规定》，电信业务经营者、管理机构及工作人员不得出售或非法向他人提供电话用户真实身份信息，否则可以处1万元以上③万元以下罚款，构成犯罪的，依法追究刑事责任。由此可以看出我国对个人信息保护的坚决态度和立场，因为这不仅关系公民切身权益，甚至关系国家安全问题。这是一项系统的工程，不是靠一部法律法规就能完成的。总体看来，我国个人信息保护立法还处于初级阶段，虽然出台了相关法律法规和标准，但是比较分散，没有统一的立法，且需要健全具体的可操作性的配套制度。

三、个人信息保护的风险应对

结合我国国情，针对个人保护的风险，需要国家完善立法、政府加强保护、公民提高保护意识和企业规范使用四方面的努力。

（一）在国家立法层面，应尽快出台一部《个人信息保护法》。个人信息保护基本法的缺失直接制约我国个人信息的保护，也是相关违法犯罪行为屡禁不止的原因。尽管我国相关法律中有对公

民个人信息保护的条款，毕竟比较分散，在同一部法律中往往条款不够具体详尽，也容易造成多头管理，保护体系难以统一，操作起来也有很多困难，不能有效起到对个人信息的保护作用。③同时，明确个人信息法律用语和范围，增强可操作性，并加大违法打击力度，通过提高相关违法行为的犯罪成本，达到威慑作用，这是防止个人信息非法流转到第三方手中的有效途径之一；

（二）在政府保护层面，除了加强立法保护，政府还应该加大对个人信息保护的宣传，借助媒体力量，打造良好的舆论氛围，进而提高公民的信息安全意识。另外，可以建立个人信息保护制度的奖励机制，鼓励公民举报身边侵犯个人信息的违法行为，让违法犯罪行为无处遁隐；

（三）在公民防范层面，公民要提高自我保护意识，比如了解对方获取此类信息的原因和目的，坚持最小够用原则，只提供必要信息，且采取措施限定使用的范围并及时销毁信息；

（四）在企业层面，信息泄露案件会对企业声誉风险的控制造成压力，在个人信息保护中，企业应充分考虑信息的收集、利用、转移和删除环节的风险。在收集时，可以参照《指南》，对于个人敏感信息，在明示同意的基础上，在收集和利用之前，首先获得个人信息主体明确的授权。对于个人一般信息，在默许同意的基础上，只要个人信息主体没有明确表示反对，便可收集和利用。在这个过程中，保障信息主题的知情权，向信息主体告知适用范围和目的，同时采取适当的措施防止信息泄露。当企业达成使用目的后及时删除个人信息并履行保密义务。

[注释]

①携程用户信用卡信息遭泄露.网易新闻：http：//news.163.com/14/0323/14/9O1CTDTV00014AED.html.

②周汉华.中华人民共和国个人信息保护法（专家建议稿）及立法研究报告[M].北京：法律出版社，2006. 3.

③杨化锋：《论我国个人信息保护立法》（硕士学位论文）[D].重庆大学，2013年4月.

（作者单位：华东政法大学，上海 200000；宁都县人民检察院，江西 宁都 342800）